เกณฑ์การประเมินระบบคอมพิวเตอร์ที่เชื่อถือได้ ( TCSEC ) เป็นมาตรฐานของกระทรวงกลาโหม (DoD) ของรัฐบาลสหรัฐอเมริกา ซึ่งกำหนดข้อกำหนดพื้นฐานสำหรับการประเมินประสิทธิภาพของ การควบคุม ความปลอดภัยของคอมพิวเตอร์ที่สร้างขึ้นในระบบคอมพิวเตอร์ TCSEC ถูกใช้เพื่อประเมิน จำแนก และเลือกใช้ระบบคอมพิวเตอร์ที่กำลังพิจารณาสำหรับการประมวลผล การจัดเก็บ และการเรียกค้นข้อมูล ที่ละเอียดอ่อนหรือเป็นความ ลับ^{[ 1 ]}

TCSEC หรือที่เรียกกันทั่วไปว่า " หนังสือสีส้ม" เป็นเอกสารสำคัญใน ชุดเอกสารRainbow Seriesของกระทรวงกลาโหมสหรัฐฯ โดยเริ่มแรกเผยแพร่ในปี 1983 โดย ศูนย์ความปลอดภัยคอมพิวเตอร์แห่งชาติ (NCSC) ซึ่งเป็นหน่วยงานหนึ่งของสำนักงานความมั่นคงแห่งชาติและได้รับการปรับปรุงในปี 1985 ในที่สุด TCSEC ก็ถูกแทนที่ด้วย มาตรฐานสากล Common Criteriaซึ่งเผยแพร่ครั้งแรกในปี 2005

ในช่วงปลายทศวรรษ 1960 หน่วยงานรัฐบาล เช่นเดียวกับผู้ใช้คอมพิวเตอร์รายอื่น ๆ ได้ก้าวไปไกลในการเปลี่ยนผ่านจากการประมวลผลแบบแบตช์ไปสู่ระบบมัลติยูเซอร์และระบบแบ่งเวลา หน่วยงานวิจัยโครงการขั้นสูง ของกระทรวงกลาโหมสหรัฐฯ (DoD) (ARPA) ซึ่งปัจจุบันคือDARPAเป็นผู้ให้ทุนหลักในการวิจัยเกี่ยวกับระบบแบ่งเวลา^{[ 1 ]}ในปี 1970 DoD ได้วางแผนจัดซื้อคอมพิวเตอร์เมนเฟรมจำนวนมากที่เรียกว่าระบบบัญชาการและควบคุมทางทหารทั่วโลก (WWMCCS) เพื่อสนับสนุนการปฏิบัติการบัญชาการทางทหาร ความปรารถนาที่จะรับมือกับความท้าทายขั้นสูงเกิดขึ้นตั้งแต่เนิ่นๆ ตัวอย่างเช่น กองบัญชาการขนส่งทางอากาศทางทหาร (MAC) ของกองทัพอากาศ ให้บริการขนส่งทางอากาศและผู้โดยสารที่ไม่เป็นความลับเป็นส่วนใหญ่แก่กองทัพ แต่ในบางโอกาสจำเป็นต้องจำแนกภารกิจบางอย่างโดยใช้เครื่องบินและลูกเรือเดียวกัน เช่น ในกรณีฉุกเฉินทางทหารหรือปฏิบัติการพิเศษ ภายในปี พ.ศ. 2513 MAC ได้กำหนดความต้องการในการประมวลผลข้อมูลลับบนเมนเฟรม WWMCCS ที่กำลังจะมาถึง ในขณะเดียวกันก็อนุญาตให้ผู้ใช้ที่ไม่มีการตรวจสอบความปลอดภัยเข้าถึงข้อมูลลับ (ผู้ใช้ที่ไม่ได้รับการตรวจสอบ) เข้าถึงเมนเฟรมได้^{[ 2 ]}

หน่วยงานด้านความมั่นคงแห่งชาติได้ตอบสนองต่อความท้าทายดังกล่าวในสองแนวทาง ได้แก่ สำนักงานเลขาธิการกระทรวงกลาโหมได้มอบหมายให้ทำการศึกษาประเด็นด้านนโยบายและเทคนิคที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบคอมพิวเตอร์ ในขณะที่ ARPA ได้ให้ทุนสนับสนุนการพัฒนาต้นแบบระบบปฏิบัติการที่ปลอดภัยซึ่งสามารถประมวลผลและปกป้องข้อมูลลับได้

การศึกษานี้จัดขึ้นในชื่อ คณะทำงานด้านความปลอดภัยคอมพิวเตอร์ของ คณะกรรมการวิทยาศาสตร์การป้องกันประเทศ (DSB) ภายใต้การเป็นประธานของวิลลิส แวร์ ผู้ล่วงลับ สมาชิกประกอบด้วยนักเทคโนโลยีจากรัฐบาลและผู้รับเหมาด้านการป้องกันประเทศ รวมถึงเจ้าหน้าที่รักษาความปลอดภัยจากกระทรวงกลาโหมและหน่วยงานข่าวกรอง คณะทำงานได้ประชุมกันระหว่างปี 1967 ถึง 1969 และจัดทำรายงานลับซึ่งเผยแพร่ให้กับองค์กรที่มีการรักษาความปลอดภัยที่เหมาะสมตั้งแต่ปี 1970 เป็นต้นไป^{[ 3 ]}รายงานแวร์ซึ่งเป็นชื่อเรียกรายงานของคณะทำงาน DSB ให้คำแนะนำเกี่ยวกับการพัฒนาและการดำเนินงานของระบบคอมพิวเตอร์แบบผู้ใช้หลายคนที่จะใช้ในการประมวลผลข้อมูลลับ

ในช่วงต้นทศวรรษ 1970 ความต้องการ ของกองทัพอากาศสหรัฐฯในการพัฒนาระบบคอมพิวเตอร์ใหม่ได้ถูกส่งไปยังกองระบบอิเล็กทรอนิกส์ของกองทัพอากาศ (ESD) ซึ่งต่อมาเป็นที่รู้จักในชื่อศูนย์ระบบอิเล็กทรอนิกส์ที่ฐานทัพอากาศแฮนส์คอมในรัฐแมสซาชูเซตส์ ESD ได้รับคำแนะนำและการสนับสนุนทางเทคนิคจากบริษัท Mitre ซึ่งเป็นหนึ่งใน ศูนย์วิจัยและพัฒนาที่ได้รับทุนสนับสนุนจากรัฐบาลกลางของประเทศ(FFRDC) รายงานของ MITRE ฉบับแรก^{[ 2 ]}ได้เสนอแนวทางทางเลือกในการตอบสนองความต้องการของ MAC โดยไม่ต้องพัฒนาระบบปฏิบัติการที่มีความปลอดภัยหลายระดับใหม่ โดยหวังว่าแนวทางเหล่านี้อาจหลีกเลี่ยงปัญหาที่รายงานของ Wareระบุว่าเป็นการแก้ไขที่ยาก

ขณะที่ Grace Hammonds Nibaldi ทำงานอยู่ที่Mitre Corporation เธอ ได้ตีพิมพ์รายงานที่วางแผนเบื้องต้นสำหรับการประเมินระบบปฏิบัติการสำเร็จรูปเชิงพาณิชย์^{[ 4 ]}เอกสารของ Nibaldi เน้นย้ำถึงความสำคัญของความปลอดภัยที่บังคับใช้เป็นอย่างมาก เช่นเดียวกับ Orange Book ที่จะตามมา เอกสารนี้กำหนดระดับการประเมินผลิตภัณฑ์ไว้เจ็ดระดับ โดยระดับต่ำสุดที่มีความปลอดภัยน้อยที่สุด (0) สงวนไว้สำหรับ “ไม่ได้รับการประเมิน” ในแผนงานของ Nibaldi ทุกระดับยกเว้นระดับ 1 (ระดับต่ำสุดที่ได้รับการประเมินจริง) จะต้องมีคุณสมบัติสำหรับความปลอดภัยที่บังคับใช้อย่างครอบคลุม

การทำงานเกี่ยวกับหนังสือสีส้มเริ่มต้นขึ้นในปี 1979 การสร้างหนังสือสีส้มเป็นโครงการสำคัญที่ครอบคลุมช่วงเวลาตั้งแต่รายงานของ Nibaldi ในปี 1979 ^{[ 4 ]}จนถึงการเผยแพร่หนังสือสีส้มอย่างเป็นทางการในปี 1983 ร่างแรกของเกณฑ์การประเมินที่เผยแพร่สู่สาธารณะคือหนังสือสีน้ำเงินที่เผยแพร่ในเดือนพฤษภาคม 1982 ^{[ 1 ]}หนังสือสีส้มได้รับการตีพิมพ์ในเดือนสิงหาคม 1983 Sheila Brand เป็นผู้เขียนหลักและมีบุคคลอื่น ๆ อีกหลายคนเป็นผู้มีส่วนร่วมหลักในการพัฒนา ซึ่งรวมถึง Grace Hammonds Nibaldi และ Peter Tasker จากMitre Corporation ; Dan Edwards, Roger Schell และ Marvin Schaeffer จาก National Computer Security Conference; และ Ted Lee จากUnivacบุคคลจำนวนหนึ่งจากภาครัฐ ผู้รับเหมาของรัฐบาล และผู้ขาย รวมถึง Jim Anderson, Steve Walker, Clark Weissman และ Steve Lipner ได้รับการอ้างถึงว่าเป็นผู้ตรวจสอบที่มีอิทธิพลต่อเนื้อหาของผลิตภัณฑ์ขั้นสุดท้าย^{[ 1 ]}

ในปี พ.ศ. 2542 หนังสือ Orange ถูกแทนที่ด้วยเกณฑ์ทั่วไปสากลสำหรับการประเมินความปลอดภัยด้านเทคโนโลยีสารสนเทศ^{[ 1 ]}

เมื่อวันที่ 24 ตุลาคม พ.ศ. 2545 The Orange Book (หรือ DoDD 5200.28-STD) ถูกยกเลิกโดย DoDD 8500.1 ซึ่งต่อมาได้รับการออกใหม่ในชื่อ DoDI 8500.02 เมื่อวันที่ 14 มีนาคม พ.ศ. 2557 ^{[ 5 ]}

นโยบายความปลอดภัยต้องชัดเจน กำหนดไว้อย่างดี และบังคับใช้โดยระบบคอมพิวเตอร์ มีการระบุนโยบายความปลอดภัยพื้นฐานสามประการ: ^{[ 6 ]}

• นโยบายความปลอดภัยที่บังคับใช้ – บังคับใช้ กฎ การควบคุมการเข้าถึงโดยพิจารณาจากระดับการอนุญาต การอนุมัติการเข้าถึงข้อมูล และระดับการรักษาความลับของข้อมูลที่ต้องการโดยตรง ปัจจัยทางอ้อมอื่นๆ ได้แก่ ปัจจัยทางกายภาพและสิ่งแวดล้อม นโยบายนี้ต้องสะท้อนถึงกฎหมาย นโยบายทั่วไป และแนวทางอื่นๆ ที่เกี่ยวข้องซึ่งเป็นที่มาของกฎเหล่านั้นอย่างถูกต้องแม่นยำด้วย
• การทำเครื่องหมาย – ระบบที่ออกแบบมาเพื่อบังคับใช้นโยบายความปลอดภัยที่บังคับใช้จะต้องจัดเก็บและรักษาความสมบูรณ์ของป้ายกำกับควบคุมการเข้าถึง และเก็บรักษาป้ายกำกับเหล่านั้นไว้หากมีการส่งออกวัตถุนั้น
• นโยบายความปลอดภัยตามดุลยพินิจ – บังคับใช้ชุดกฎที่สอดคล้องกันสำหรับการควบคุมและจำกัดการเข้าถึง โดยพิจารณาจากบุคคลที่ได้รับการระบุว่ามีความจำเป็นต้องทราบข้อมูลนั้นๆ

ต้องมีการบังคับใช้ความรับผิดชอบส่วนบุคคลโดยไม่คำนึงถึงนโยบาย ต้องมีวิธีการที่ปลอดภัยเพื่อให้แน่ใจว่าตัวแทนที่ได้รับอนุญาตและมีความสามารถสามารถเข้าถึงข้อมูลความรับผิดชอบได้ภายในระยะเวลาที่เหมาะสมและโดยไม่มีปัญหาเกินควร วัตถุประสงค์ของความรับผิดชอบประกอบด้วยข้อกำหนดสามประการ: ^{[ 6 ]}

• การระบุตัวตน – กระบวนการที่ใช้ในการระบุตัวตนของผู้ใช้แต่ละคน
• การยืนยันตัวตน – การตรวจสอบสิทธิ์ของผู้ใช้แต่ละรายในการเข้าถึงข้อมูลในหมวดหมู่เฉพาะ
• การตรวจสอบ – ข้อมูล การตรวจสอบจะต้องได้รับการเก็บรักษาและปกป้องอย่างเลือกสรร เพื่อให้สามารถตรวจสอบย้อนกลับการกระทำที่ส่งผลกระทบต่อความปลอดภัยไปยังบุคคลที่ได้รับอนุญาตได้

ระบบคอมพิวเตอร์ต้องมีกลไกฮาร์ดแวร์/ซอฟต์แวร์ที่สามารถประเมินได้อย่างอิสระเพื่อให้มั่นใจได้อย่างเพียงพอว่าระบบจะบังคับใช้ข้อกำหนดข้างต้น นอกจากนี้ ความมั่นใจยังต้องรวมถึงการรับประกันว่าส่วนที่เชื่อถือได้ของระบบจะทำงานตามที่ตั้งใจไว้เท่านั้น เพื่อให้บรรลุวัตถุประสงค์เหล่านี้ จำเป็นต้องมีความมั่นใจสองประเภทพร้อมองค์ประกอบที่เกี่ยวข้อง: ^{[ 6 ]}

• กลไกการรับประกัน
• การรับประกันการปฏิบัติงาน: สถาปัตยกรรมระบบ ความสมบูรณ์ของระบบ การวิเคราะห์ช่องทางลับ การจัดการสิ่งอำนวยความสะดวกที่เชื่อถือได้ และการกู้คืนที่เชื่อถือได้
• การรับประกันตลอดวงจรชีวิตผลิตภัณฑ์: การทดสอบความปลอดภัย การกำหนดและตรวจสอบข้อกำหนดการออกแบบ การจัดการการกำหนดค่า และการแจกจ่ายระบบที่เชื่อถือได้
• การรับประกันการปกป้องอย่างต่อเนื่อง – กลไกที่เชื่อถือได้ซึ่งบังคับใช้ข้อกำหนดพื้นฐานเหล่านี้จะต้องได้รับการปกป้องอย่างต่อเนื่องจากการดัดแปลงหรือการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต

ภายในแต่ละคลาส จะมีเอกสารเพิ่มเติมอีกชุดหนึ่งที่กล่าวถึงการพัฒนา การติดตั้งใช้งาน และการจัดการระบบ มากกว่าความสามารถของระบบ เอกสารเหล่านี้ประกอบด้วย:

• คู่มือผู้ใช้คุณสมบัติด้านความปลอดภัย, คู่มือการใช้งานสถานที่ที่เชื่อถือได้, เอกสารการทดสอบ และเอกสารการออกแบบ

TCSEC กำหนดระดับความปลอดภัยไว้ 4 ระดับ ได้แก่ D, C, B และ A โดยระดับ A มีความปลอดภัยสูงสุด แต่ละระดับแสดงถึงความแตกต่างอย่างมีนัยสำคัญในความไว้วางใจที่บุคคลหรือองค์กรสามารถมอบให้แก่ระบบที่ได้รับการประเมิน นอกจากนี้ ระดับ C, B และ A ยังแบ่งออกเป็นระดับย่อยตามลำดับชั้นที่เรียกว่าคลาส ได้แก่ C1, C2, B1, B2, B3 และ A1 ^{[ 7 ]}

แต่ละแผนกและชั้นเรียนจะขยายหรือปรับเปลี่ยนตามที่ระบุไว้ตามข้อกำหนดของแผนกหรือชั้นเรียนก่อนหน้าทันที^{[ 7 ]}

• สงวนไว้สำหรับระบบที่ได้รับการประเมินแล้วแต่ไม่ตรงตามข้อกำหนดสำหรับระดับที่สูงกว่า^{[ 8 ]}

• C1 – การคุ้มครองความปลอดภัยตามดุลยพินิจ^{[ 9 ]}
  • การระบุตัวตนและการตรวจสอบสิทธิ์
  • การแยกผู้ใช้และข้อมูล
  • ระบบควบคุมการเข้าถึงแบบเลือกได้ (DAC)ที่สามารถบังคับใช้ข้อจำกัดการเข้าถึงเป็นรายบุคคลได้
  • เอกสารระบบและคู่มือผู้ใช้ที่จำเป็น
• C2 – ระบบป้องกันการเข้าถึงแบบควบคุม
  • DAC ที่มีความละเอียดสูงขึ้น
  • ความรับผิดชอบส่วนบุคคลผ่านขั้นตอนการเข้าสู่ระบบ
  • บันทึกการตรวจสอบ
  • การนำวัตถุกลับมาใช้ใหม่
  • การแยกทรัพยากร
  • ตัวอย่างของระบบดังกล่าวคือHP-UX

• B1 – การป้องกันความปลอดภัยที่มีป้ายกำกับ^{[ 10 ]}
  • คำแถลงอย่างไม่เป็นทางการเกี่ยวกับแบบจำลองนโยบายความปลอดภัย
  • ป้ายกำกับความละเอียดอ่อนของข้อมูล
  • การควบคุมการเข้าถึงแบบบังคับ (MAC)สำหรับหัวข้อและวัตถุที่เลือกไว้
  • ความสามารถในการส่งออกฉลาก
  • ข้อบกพร่องบางประการที่ตรวจพบจะต้องได้รับการแก้ไขหรือบรรเทาผลกระทบด้วยวิธีอื่น
  • ข้อกำหนดการออกแบบและการตรวจสอบ
  • ตัวอย่างของระบบดังกล่าวคือOpenVMS เวอร์ชัน SEVMS ^{[ 11 ]}
• B2 – การป้องกันเชิงโครงสร้าง
  • รูปแบบนโยบายความปลอดภัยได้รับการกำหนดไว้อย่างชัดเจนและจัดทำเป็นเอกสารอย่างเป็นทางการ
  • การบังคับใช้ DAC และ MAC ขยายไปถึงทุกบุคคลและวัตถุ
  • มีการวิเคราะห์ ช่องทางการจัดเก็บข้อมูลลับเพื่อตรวจสอบการเกิดขึ้นและแบนด์วิดท์
  • จัดโครงสร้างอย่างระมัดระวังโดยแบ่งออกเป็นองค์ประกอบที่สำคัญต่อการป้องกันและองค์ประกอบที่ไม่สำคัญต่อการป้องกัน
  • การออกแบบและการดำเนินการช่วยให้สามารถทดสอบและตรวจสอบได้อย่างครอบคลุมมากขึ้น
  • กลไกการตรวจสอบสิทธิ์ได้รับการเสริมความแข็งแกร่ง
  • มีการให้บริการบริหารจัดการสิ่งอำนวยความสะดวกที่เชื่อถือได้ โดยมีการแยกผู้ดูแลระบบและผู้ปฏิบัติงานออกจากกัน
  • มีการบังคับใช้มาตรการควบคุมการจัดการการกำหนดค่าอย่างเข้มงวด
  • บทบาทของผู้ปฏิบัติงานและผู้ดูแลระบบถูกแยกออกจากกัน
  • ตัวอย่างของระบบดังกล่าวคือMultics
• B3 – โดเมนความปลอดภัย
  • ตรงตามข้อกำหนดของมอนิเตอร์อ้างอิง
  • ออกแบบมาเพื่อตัดโค้ดที่ไม่จำเป็นต่อการบังคับใช้นโยบายความปลอดภัยออกไป
  • การออกแบบระบบที่สำคัญซึ่งมุ่งเน้นไปที่การลดความซับซ้อนให้เหลือน้อยที่สุด
  • บทบาทผู้ดูแลระบบความปลอดภัยได้รับการกำหนดไว้แล้ว
  • ตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย
  • ระบบตรวจจับแจ้งเตือน และตอบสนองต่อ การบุกรุก ที่ใกล้จะเกิดขึ้นโดยอัตโนมัติ
  • เส้นทางที่เชื่อถือได้ไปยัง TCB สำหรับฟังก์ชันการตรวจสอบสิทธิ์ผู้ใช้
  • ขั้นตอนการกู้คืนระบบที่เชื่อถือได้
  • มีการวิเคราะห์ ช่องทางการกำหนดเวลาแบบลับๆเพื่อตรวจสอบการเกิดขึ้นและแบนด์วิดท์
  • ตัวอย่างของระบบดังกล่าวคือ XTS-300 ซึ่งเป็นรุ่นก่อนหน้าของXTS-400

• A1 – การออกแบบที่ได้รับการตรวจสอบ^{[ 12 ]}
  • มีคุณสมบัติการทำงานเหมือนกับ B3 ทุกประการ
  • เทคนิคการออกแบบและการตรวจสอบอย่างเป็นทางการ รวมถึงข้อกำหนดระดับสูงสุดที่เป็นทางการ
  • ขั้นตอนการจัดการและการจัดจำหน่ายที่เป็นทางการ
  • ตัวอย่างของระบบระดับ A1 ได้แก่ SCOMP ของ Honeywell, GEMSOS ของ Aesec และ SNS Server ของ Boeing ส่วนอีกสองระบบที่ไม่ได้รับการประเมิน ได้แก่ แพลตฟอร์ม LOCK ที่ใช้งานจริง และ DEC VAX Security Kernel ที่ถูกยกเลิก ไป
• เหนือกว่า A1
  • สถาปัตยกรรมระบบแสดงให้เห็นว่าข้อกำหนดด้านการป้องกันตนเองและความสมบูรณ์สำหรับมอนิเตอร์อ้างอิงได้รับการนำไปใช้ในฐานการประมวลผลที่เชื่อถือได้ (TCB) แล้ว
  • การทดสอบความปลอดภัยจะสร้างกรณีทดสอบโดยอัตโนมัติจากข้อกำหนดระดับบนสุดอย่างเป็นทางการ หรือข้อกำหนดระดับล่างอย่างเป็นทางการ
  • การกำหนดคุณสมบัติและการตรวจสอบอย่างเป็นทางการ คือการตรวจสอบ TCB ลงไปถึงระดับซอร์สโค้ด โดยใช้วิธีการตรวจสอบอย่างเป็นทางการเท่าที่ทำได้
  • สภาพแวดล้อมการออกแบบที่เชื่อถือได้ คือกระบวนการออกแบบ TCB ในสถานที่ที่เชื่อถือได้ โดยมีเฉพาะบุคลากรที่เชื่อถือได้ (ผ่านการตรวจสอบประวัติแล้ว) เท่านั้น

เอกสารที่มีชื่อว่า "ระเบียบกองทัพบก 380-19" เป็นตัวอย่างของแนวทางในการพิจารณาว่าควรใช้ระบบคลาสใดในสถานการณ์ที่กำหนด^{[ 13 ]}

• AR 380-19ถูกแทนที่ด้วยAR 25-2
• เกณฑ์การประเมินผลิตภัณฑ์คอมพิวเตอร์ที่เชื่อถือได้ของแคนาดา
• เกณฑ์ทั่วไป
• อิทเซค
• ซีรีส์สายรุ้ง
• โมดูลแพลตฟอร์มที่เชื่อถือได้

• สถาบันความมั่นคงแห่งชาติ - 5200.28-STD เกณฑ์การประเมินระบบคอมพิวเตอร์ที่เชื่อถือได้
• เกณฑ์การประเมินระบบคอมพิวเตอร์ที่เชื่อถือได้ของกระทรวงกลาโหม (FAS IRP DOD Trusted Computer System Evaluation Criteria) DOD 5200.28
• เกณฑ์การประเมินทางเทคนิคที่เสนอสำหรับระบบคอมพิวเตอร์ที่เชื่อถือได้